Los europeos recuperarán el control sobre sus datos personales

El nombre y apellidos, las fotografías, el correo electrónico, la dirección IP del ordenador y hasta los mensajes escritos en las redes sociales son datos sobre los que el legítimo propietario, el internauta, ha perdido el control. Las grandes y pequeñas empresas de internet se lo han arrebatado para construir sobre toda esa información sus exitosos servicios y sus millonarios ingresos. Sin datos personales, Facebook no habría salido del campus universitario de Harvard. Sin saber desde donde se conecta el navegante o que páginas visita, Google seguiría siendo sólo un buscador. Sin el comercio, una veces legítimo y otras no, de bases de datos, la publicidad online no sería el negocio boyante que es. Ahora, la Comisión Europea quiere que los internautas recuperen lo que era suyo

La comisaria europea de Justicia de la UE y Vicepresidenta de la Comisión, Viviane Reding, ha anunciado una profunda reforma de la legislación sobre protección de datos. La anterior directiva es de 1995, cuando internet era cosa de una minoría, y de ella derivan las legislaciones sobre privacidad de los 27 países miembros de la Unión Europea. Ese es uno de los aspectos positivos de la reforma: busca simplificar el marco regulatorio para que las empresas se ahorren un dinero y los internautas más de un dolor de cabeza.

Una vez que la reforma esté implantada, las empresas que manejan datos personales de los usuarios sólo tendrán que estar sujetas a la ley nacional del país donde tengan su sede principal. Además, únicamente tendrán que rendir cuentas ante la agencia de protección de datos de ese país. La Comisión calcula que con esta simplificación se ahorrarán unos 2.300 millones de euros. En contrapartida, los internautas que consideren vulnerados sus derechos por alguna de estas compañías podrán reclamar ante la agencia de su propio Estado. La norma establecerá los mecanismos de coordinación entre autoridades de protección de datos en los casos en que la empresa requerida y el usuario residan en países diferentes.

Para los europeos, la reforma busca devolverles la soberanía sobre su información personal.  "La protección de los datos personales es un derecho fundamental de todos los europeos, quienes, no obstante, a veces sienten que pierden el control sobre sus datos personales", decía Reding el miércoles. Lo primero que tendrán que hacer las empresas es pedir el consentimiento expreso e informado al usuario para tratar sus datos personales. Tendrán además que explicar de forma sencilla para qué los van a usar y durante cuánto tiempo. No sólo eso, el internauta tendrá el derecho a revocar ese consentimiento en cualquier momento. Algunos de estos detalles ya están recogidos en la legislación española, una de las más protectoras en materia de datos personales.

Las empresas que sean negligentes en el manejo de los datos personales (pérdida o robo de la información) estarán obligadas a comunicarlo a la autoridad sobre protección de datos y al propio usuario afectado lo antes posible. El deseo de la comisaria es que el aviso se produzca en las 24 horas siguientes al incidente. Cuando Sony sufrió un ataque informático el año pasado que comprometió la información personal de más de 70 millones de personas, la compañía tardó días en darlo a conocer y sólo lo hizo cuando el hecho salió a la luz pública. Las empresas que no cumplan la legislación podrán ser multadas con hasta un millón de euros o el 2% del volumen de negocios anual.

Otro de los objetivos de la nueva normativa es el de poner por escrito el derecho al olvido: Si uno es dueño de sus datos personales debe tener el derecho de hacerlos desaparecer.  En los últimos dos años han aparecido centenares de casos en redes sociales o buscadores de personas que veían publicada una información suya y no encontraban la manera de eliminarla. Con la reforma, los ciudadanos no sólo podrán pedir a la empresa que trata su información personal que se la devuelva en un formato que ellos puedan usar, sino que podrá exigir que sea eliminada de sus servidores. Durante el proceso legislativo que ahora comienza se establecerán las excepciones a esta norma, en particular para proteger el derecho a la información para que los periódicos, por ejemplo, no se vean obligados a borrar noticias veraces.

Las reacciones al anuncio han sido dispares. "Parece como si lo hubieran redactado pensando en hacer frente a las malas prácticas de empresas tecnológicas de EEUU, sin pensar en todas las pequeñas empresas europeas", dijo a Reuters el experto en protección de datos del bufete británico Bristows, Mark Watts. No en vano, el 90% de los datos personales en la red están en servidores de empresas estadounidenses. Las pymes europeas temen que el cambio legislativo les cueste más dinero en multas del que ahorran en papeleo.

"Dudo mucho que las empresas cumplan la obligación de comunicar una pérdida de datos en 24 horas", sostiene el experto en protección de datos de ePrivacidad, Samuel Parra. "Además, ¿en qué mejora la seguridad esta obligación?", añade. Por otro lado, para Parra, la realidad se impone a los buenos deseos. "Esto sólo es un borrador, tiene que pasar por la Comisión, el Parlamento y ser transpuesto a la legislación de cada país. Para cuando esté aprobado, no antes de 2015, igual ni existe Facebook", explica.

Por su parte, el Supervisor Europeo para la Protección de Datos aunque acoge bien el anuncio, considera que deja peligrosamente fuera el papel de la justicia y la policía. "La Comisión no ha cumplido con sus promesas de garantizar un sistema sólido para la policía y la justicia. Estas son áreas donde el uso de información personal, inevitablemente, tiene un enorme impacto en las vidas de los particulares", asegura en un comunicado. En particular le preocupa la exportación de datos de los europeos a terceros países y que no haya planes para regular en que condiciones pueden las fuerzas policiales acceder a datos de los ciudadanos en poder de las empresas privadas.